[LUG.ro] Dnasguardian vs Squidguard
Federico Lazcano
flazcano en rosario.gov.ar
Dom Mar 22 12:47:30 ART 2009
El Sábado 21 Marzo 2009, Mey escribió:
> > Tené en cuenta que si vas a usar autenticación contra AD, vas a pasar la
> > contraseña de los usuarios en texto claro a través de la red. Si la red
> > local es confiable, esto no sería tan grave, pero tenelo en cuenta.
>
> con la opcion -Z no encripta con TLS? [1]
> Saludos!
>
> MEY
>
> [1] http://www.penguin-soft.com/penguin/man/8/squid_ldap_group.html
No, acá hay una diferencia de conceptos.
Una cosa es el tráfico de autenticacion del proxy al servidor Kerberos/LDAP y
otra la del cliente web al proxy.
Flujo de autenticación usando AUTH BASIC en el proxy:
ClienteWeb --(texto claro)--> Proxy--->(TLS)--->KRB/LDAP server
Para estar seguro tenés que cifrar los dos flujos.
Una opción es usar AUTH DIGEST(2) en el proxy, pero no te va a coicidir con la
contraseña almacenada en el AD, ya que usa un algoritmo distinto, incluyendo
el REALM. Vas a tener que usar scripting para mantener sincronizada la
contraseña o bien seguir con AUTH BASIC y confiar en la red local.
(1) http://en.wikipedia.org/wiki/Basic_access_authentication
(2) http://en.wikipedia.org/wiki/Digest_access_authentication
Saludos.-
--
Ing. Federico Lazcano
[flazcano en rosario.gov.ar]
+54 341 4802596
msn: flazcano en rosario.gov.ar
xmpp: flazcano en jabber.org
Infraestructura y comunicaciones
Dirección General de Informática
Municipalidad de Rosario
Más información sobre la lista de distribución Lugro